栗孔雀

ユーザーのクリックを乗っ取るという意味でクリックジャック。はやい話、ステータスバーの偽装に近いのかな？

元の英語ソースを参考にテストページを作ってみました。

• テストページ

今のところ、メジャーブラウザで影響を受けないのはOperaとIE8とのことですが、よくよく調べてみるとIE8はかなりの条件付き。

Microsoftがクリック・ジャッキングを防ぐために採用したアプローチは、Webページに特殊なタグを追加し、Webボタンが悪用されるのを防ぐというものだ。しかし専門家らは、この機能が限定的な対策にしかならないうえ、セキュリティに対する誤った認識をIEユーザーに与えてしまう危険もあると指摘する。

Webページの制作側での対策なの？制作側にそもそも悪意があったらだめなのでは？

ちなみに、Javascriptの悪用なので、無効の場合はどのブラウザでも問題ないようです。（そんなことするくらいなら、みんなOpera使おうよ。w）

ソースを見ると、onMouseOverで任意のURLに飛ぶ2px四方のdiv要素をリンクのクリックによってマウスの位置に移動させてる。
なので、じつはリンクをクリックしなくても画面の左上の角にマウスをもっていくだけでも意図しないURLに飛ばされちゃう……（これはOperaも同様。）

参考記事

• Mozilla Firefox Thunderbird の拡張あれこれ-MEMO（2009年1月-6）
• セキュリティホール memo
• IE8のクリック・ジャッキング対策機能はほんとうに有効か : セキュリティ – Computerworld.jp